Windows AD DC中的域管理员与管理员


16

阅读了Microsoft Docs文章“ 默认 ”后,对这两个组的描述:

域管理员

该组的成员对域具有完全控制权。默认情况下,该组是加入域时所有域控制器,所有域工作站和所有域成员服务器上Administrators组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中拥有完全控制权,因此请谨慎添加用户。”

管理员

该组的成员对域中的所有域控制器具有完全控制权。默认情况下,Domain Admins和Enterprise Admins组是Administrators组的成员。管理员帐户也是默认成员。由于该组在域中拥有完全控制权,因此请谨慎添加用户。”

并且同一篇文章指出两个组对其默认用户权限的描述完全相同:

从网络访问此计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简介单个过程;剖析系统性能;从扩展坞中卸下计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。

此外,Microsoft Docs文章“ 默认本地组”包括对Administrators组的以下说明:

该组的成员对服务器具有完全控制权,可以根据需要向用户分配用户权限和访问控制权限。管理员帐户也是默认成员。该服务器加入域后,Domain Admins组将自动添加到该组...”

[强调我的]

鉴于以上情况,我不明白:

  1. 它们之间有什么区别?
  2. 何时在其默认化身中使用哪个?
  3. 如何专门从事他们的活动?
  4. 如果域管理员是管理员成员,这是否使他们始终相等?

该问题是该问题的子问题,并在该问题的上下文中被询问。加入AD的计算机的本地用户的上下文是域计算机帐户还是本地计算机帐户?


vgv8您已更改了问题,并接受了无法正确回答原始问题的答案!您似乎在几个问题上都采用了这种技巧。我建议您学习如何正确使用堆栈溢出。
JamesRyan 2010年

@JamesRyan,我的问题有什么改变????我在帖子中唯一更改的是添加Update1。
纳季·瓦宁

您最初的问题是它们在域中有何不同。更新和注释已微妙但显着地将其更改为特定计算机上的不同之处。
JamesRyan 2010年

2
这个问题令人困惑,并且在其整个生命过程中都发生了变化,现在与被问到时有很大不同。因此,这里有许多答案,都回答了不同的问题。将来,如果您的问题重点发生重大变化,请提出一个新问题。
山姆·科根

2
我已将其回滚以删除所有无关的废话。
约翰·加迪尼尔

Answers:


12

在将域控制器提升为该角色之前,它是一个简单的工作组(独立)服务器,并具有本地管理员帐户和本地管理员组。创建域时,这些帐户不会消失;它们作为域管理员帐户和域内置\管理员组合并到域中。

Builtin \ Administrators组具有对域控制器的管理访问权限,但没有自动授予对域中所有计算机的管理访问权限,而Domain Admins具有。


嗨,沃尔多,我相信通过将域管理员包括在所有域计算机的本地Administrators组中,可以授予Domain Admins所有计算机访问权限,请参阅我的主要文章中的引用:“默认情况下,该组是所有计算机上Administrators组的成员域控制器,所有域工作站以及所有加入域时的域成员服务器”。我相信,如果我删除了此类权限(或包含项),则没有人可以访问我的计算机,无论该计算机是否已分区。真正?
纳季·瓦宁

+1,无论如何,它对于无法访问AD / DC的虚拟人很有用
Gennady VaninГеннадийВанин2010年

2
在我的头顶上(我没有要检查的原始域,也没有资源来构建一个域),在每台计算机的本地Administrators组中添加Domain Admins是Default Domain Policy GPO的一部分。如果是这种情况,您当然可以从本地Admins组中删除Domain Admins,但在下次策略刷新时将它们重新放置(默认每90 + [0-30]分钟一次。)
gWaldo

如何?我从serverfault.com/questions/173550/…和后续活动中了解到,客户端域PC上的本地组和用户与工作组(非加入或预加入域)计算机上的本地组和用户完全相同,并且域不知道( AD DC)...
纳季·范宁ГеннадийВанин2010年

1
@JamesRyan再次阅读它(未编辑):Builtin \ Administrators组具有对域控制器的管理访问权限,但没有自动授予对域中所有计算机的管理访问权限,而Domain Admins则具有自动访问权限。控制器。复数。
gWaldo

10

域管理员组和AD Builtin \ Adminstrators组(不是客户端上的本地管理员组)有效地向其中的用户授予相同的权限,但是存在一些细微的差异:

  • Builtin \ administrators是域本地组,而作为域管理员,则是全局组
  • 域管理员是内置\管理员的成员
  • 域管理员是每台客户端计算机上本地管理员组的成员
  • 内置\管理员组在那里提供与预AD系统的向后兼容性

5

这是一个简单而又复杂的问题。

简单的答案是始终使用domain admins组。

复杂的答案是,域管理员将admin赋予域中的所有内容(DC,服务器和工作站)。Builtin \ Administrators最初仅提供对所有 DC的访问权限(它是一个本地组,但会被复制),但不能访问服务器或工作站。但是,管理员对DC的访问权限使他们可以提升为域管理员。 因此,从安全性角度来看,它们是等效的。

Builtin \ administrators存在的主要原因是,检查管理员访问权限的程序可以检查任何计算机上的同一位置。

DC是您城堡的钥匙,您永远不能(而不是有效地)将管理员交给一个而不是另一个,也不是整个域,而不是整个域,因此不应有只需要本地管理员访问权限的程序/文件。


+1 @JamesRyan,“这是一个本地组,但已被复制”。有趣,因为在serverfault.com/questions/173550/…中,我得到了一致的回答,即本地计算机之外无法识别本地组/帐户。尽管在serverfault.com/questions/174196/…中,由于管理员和管理员具有“知名安全标识符”,所以我质疑这种“匿名性”,请参阅technet.microsoft.com/zh-cn/library/cc978401.aspx
Gennady VaninГеннадий Ванин2010年

我想知道它是以Windows组还是本地组复制的吗?
纳季·瓦宁

为什么这是正确的答案,却被否决了?不是您想要的答案?
JamesRyan 2010年

@JamesRyan,我认为您的回答很有帮助。我的评分是50左右,而我从来没有在三部曲的任何站点上投票过100!另外,AFAIK,我不能在投票后投票
Gennady VaninГеннадийВанин2010年

我正在和
低级投票者

4

安装Windows时,默认情况下会创建bultin / administrators组。该组具有对计算机的完整且不受限制的访问权限。默认情况下,该组的唯一用户帐户是Administrator。

域管理员组仅存在于Windows域中。该组具有对整个域的完整且不受限制的访问权限,能够登录到属于该域成员的任何PC或服务器。

将PC /服务器添加到域后,域管理员组将自动成为内建/管理员组的成员,从而为域管理员提供了对计算机的管理员级别的访问权限。

如果将帐户从域管理员组移至内置/管理员组,则该帐户将能够管理该本地计算机,但只能执行其他操作,除非您将该帐户添加到其他内置/管理员组。


3
我相信他是在谈论AD中的管理员组,而不是客户端PC上的本地管理员组
Sam Cogan 2010年

他是谁”?如果“他”是vgv8,那么我只是做了一堆引文要求向我澄清它们!
纳季·瓦宁

1
aleroot是正确的,因为它是本地管理员组,但不正确,因为它在DC上的行为确实不同
JamesRyan 2010年

@ JamesRyan,+ 1试图向我解释。aleroot的回答只是重申了我在问题中引用的内容。我看不出它在哪个部分说本地管理员组“在DC上的行为有所不同”。在其他评论中,您说过(本地管理员)组在DC之间复制。在将其升级为DC之前,该服务器上的行为如何相同?
纳季·瓦宁

@Sam Cogan,我说的是通过计算机加入AD(即在客户端计算机上)如何更改(或不更改)非域服务器/工作站的本地Administrators组。在上一篇文章中,我被回答说,加入之前和之后,本地组和用户都没有区别。
纳季·瓦宁
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.